Tento článok je tlačová správa a je publikovaný bez redakčných úprav.

Vyjadrenie spoločnosti DXC Technology k téme „čipovania“ ľudí a diskusii k návrhu nariadenia EÚ o posilnení zabezpečenia preukazov totožnosti občanov únie a dokladov o pobyte vydávaných občanom únie a ich rodinným príslušníkom vykonávajúcim svoje právo na voľný pohyb.

 V niektorých médiách odzneli rôzne informácie spochybňujúce ciele a bezpečnosť v súvislosti s prípadným doplnením bezkontaktného rozhrania na eID karte s „pasovou“ aplikáciou zhodnou s tou na medzinárodne používaných elektronických strojovo čitateľných cestovných dokladoch (eMRTD), vrátane slovenských biometrických cestovných pasov.

Spoločnosť DXC Technology by rada na základe expertných znalostí niektoré nepresné komunikované informácie uviedla na správnu mieru a tým upokojila verejnosť.

Peter Handzuš z DXC Technology je odborníkom na tému eID

„K „čipovaniu ľudí“ v žiadnom prípade nedochádza a diskutovaný návrh Nariadenia EÚ o posilnení zabezpečenia preukazov totožnosti a dokladov o pobyte vydávaných občanom EÚ a ich rodinným príslušníkom nič také neobsahuje.

 Prítomnosť dodatočných fyzických a najmä elektronických ochranných prvkov v podobe bezkontaktného čipu s „pasovou“ aplikáciou výrazným spôsobom eliminujú možnosti falšovania alebo pozmeňovania dokladov, ktoré by mohli zneužiť aj potenciálni páchatelia teroristických činov s cieľom dostať sa cez hranice a zasiahnuť v rámci Schengenského priestoru.

Navrhovaná ochrana prístupu k osobným údajom uloženým na bezkontaktnom čipe je rovnaká ako pri aplikácii na čipoch cestovných dokladov podľa medzinárodných štandardov pre civilnú leteckú prepravu (ICAO).

Otázka bezpečnosti je tak vopred adresovaná, štandardizovaná a aj implementovaná na elektronických strojovo čitateľných cestovných dokladoch (eMRTD) používaných takmer všade vo svete, vrátane Slovenskej republiky.

Odtlačky prstov sú zvlášť chránené najpokročilejším mechanizmom ochrany prístupu EAC a bez špeciálneho terminálového certifikátu vydaného Ministerstvom Vnútra SR nie je technicky možné tento údaj z čipu získať.

Sledovanie konkrétneho bezkontaktného dokladu alebo jeho držiteľa na základe unikátneho identifikátora čipu je znemožnené, ak čip pri každom pokuse o komunikáciu vygeneruje svoj nový, náhodný unikátny identifikátor, ako to odporúčajú aj štandardy ICAO.

V súčasnosti aplikovaná bezpečnosť, ochrana a kontrola prístupu najmodernejším mechanizmom EAC ku všetkým údajom na kontaktnom čipe eID karty ostane aj naďalej zachovaná.“

Peter Handzuš, Solution Architect DXC Technology Slovensko a odborník na eID

 Základné otázky a odpovede – odborný materiál spracovaný DXC Technology

  1. Ide skutočne o „čipovanie ľudí“?

Nevieme na základe čoho, alebo akého zdroja sa táto dezinformácia vykonštruovala, no k „čipovaniu ľudí“ v žiadnom prípade nedochádza a návrh Nariadenia EÚ nič také neobsahuje. Nariadenie navrhuje „čipovať“ doklady totožnosti. Teda pridať k už implementovanému kontaktnému čipu na súčasnom doklade totožnosti (eID karte) aj bezkontaktné rozhranie s „pasovou“ aplikáciou pre adresovanie identifikovanej potreby dôslednejšej, efektívnejšej kontroly a zvýšenia bezpečnosti pri prechode hranicami, najmä smerom do Schengenského priestoru, pretože na tento účel je možné použiť aj identifikačný doklad. Prítomnosť elektronických ochranných prvkov v podobe bezkontaktného čipu s „pasovou“ aplikáciou potrebného pre kontrolu autenticity dokladu a údajov uvedených v ňom počas kontroly pri vstupe na územie Schengenského priestoru výrazným spôsobom eliminujú možnosti vyhotovenia falzifikátov.

  1. Na koho je nariadenie primárne sústredené?

Nariadenie venuje primárne pozornosť krajinám, ktoré vydávajú doklady totožnosti s minimálnym alebo nízkym zabezpečením a triviálnymi ochrannými prvkami – napríklad laminované doklady alebo iné doklady, ktoré predstavujú vysoké riziko falšovania, krádeže identity, alebo doklady, ktorých autenticitu nie je možné dôveryhodne overiť. Práve tieto slabiny sa snažia využiť rôzne indivíduá aj organizovaní páchatelia teroristických činov a podobne. Tieto krajiny by podľa uvedených návrhov opatrení v Nariadení EÚ museli spĺňať minimálne štandardy v rôznych oblastiach, vrátane aplikovania bezpečnostného čipu s bezkontaktným rozhraním a „pasovou“ aplikáciou, spôsob vyhotovenia a tlače čistopisov,  techniky personalizácie, rozmery dokladu, prítomnosť strojovo čitateľnej zóny MRZ (Machine Readable Zone), prítomnosť a typy fyzických ochranných prvkov na doklade atď.

  1. Kto môže podľa nariadenia použiť biometrické údaje občana?

Biometrické údaje na „pasovej“ aplikácii môžu byť použité výlučne  v súlade s právom EÚ a vnútroštátnym právom len riadne oprávnenými pracovníkmi príslušných vnútroštátnych orgánov a agentúr EÚ. Teda nemôžu byť sprístupnené a použité napr. v komerčnom sektore.

  1. Ako je zabezpečená ochrana údajov a bezpečnosť „pasovej“ aplikácie, ktorá má byť dostupná bezkontaktne?

Uvažované pridanie „pasovej“ aplikácie sa musí riadiť štandardmi Medzinárodnej organizácie pre civilné letectvo (ICAO), vrátane bezpečnostných mechanizmov pre zachovanie interoperability a možnosti vykonávať kontrolu spoľahlivým a jednotným spôsobom na hraničných priechodoch (napr. aj na letiskách) a zároveň takým spôsobom, ktorý neohrozí plynulosť, či neznemožní prechod. Preto sa preferuje komunikácia bezkontaktným rozhraním bezpečnostného čipu. Bezpečnostný čip musí byť certifikovaný. To znamená, že výrobca musí nechať svoj bezkontaktný čip otestovať a vyhodnotiť jeho úroveň zabezpečenia aj voči útočníkom s vysokým potenciálom. Testovanie a potvrdenie odolnosti sa vykonáva nezávislými laboratóriami. ICAO v dokumente 9303 stanovuje komplexné požiadavky na elektronický strojovo čitateľný cestovný doklad  z rôznych aspektov. Konkrétne v časti 11 definuje bezpečnostné mechanizmy pre kontrolu prístupu k čipu a ochranu pred neoprávnenou komunikáciou s čipom s cieľom získať osobné údaje (tzv. skimming) alebo odpočúvaniu komunikácie medzi čipom a čítačkou (tzv. eavesdropping). V každom z nižšie uvedených dvoch mechanizmov je nevyhnutným predpokladom pre komunikáciu a prístup k čipu získanie údajov zo strojovo čitateľnej zóny MRZ. Z týchto údajov sa  tvorí symetrický kľúč pre šifrovanie a dešifrovanie správ alebo slúži ako vstup pre deriváciu komplexného kľúča pre asymetrické šifrovanie a dešifrovanie komunikácie a výmeny správ. V prípade eID karty je MRZ vyobrazená na spodnej časti zadnej strany dokladu. Bez nej nie je možné vykonať procedúry nevyhnutné pre získanie prístupu k údajom.

Rozoznávame dva spôsoby kontroly prístupu k čipu a uloženým údajom:

  • Základný (BAC) na báze symetrickej kryptografie – tento spôsob je základný scenár pre načítanie základných údajov, vrátane fotografie z čipu a inšpekčné systémy musia podporovať tento typ kontroly.
  • Dodatočný, heslom autentifikovaný (PACE označovaný aj ako SAC) na báze silnej asymetrickej kryptografie verejných kľúčov s vysokou mierou entropie v porovnaní s BAC. Eliminuje sa možnosť útoku hrubou silou na odchytenú šifrovanú správu.

Pre dodatočné biometrické prvky (odtlačky prstov) je aplikovaný najpokročilejší mechanizmus tzv. rozšírenej kontroly prístupu (EAC). V prípade EAC sa vykonáva vzájomná autentifikácia. To znamená, že na jednej strane doklad potvrdí, že je autentický a nebol pozmenený a na druhej strane kontrolné pracovisko „dokáže“ dokladu, že je skutočné a  autorizované pre prístup k požadovaným údajom na základe oprávnenia v podobe špeciálneho certifikátu vydaného MV SR (nazýva sa aj „terminálový“ certifikát). Fotografia tváre nie je považovaná za dodatočný biometrický prvok, preto ju je možné vyčítať pomocou základnej kontroly prístupu BAC alebo dodatočnou kontrolou prístupu cez PACE protokol. Konfigurácia slovenských biometrických pasov momentálne podporuje všetky typy kontrol, vrátane BAC, ako to vyžadoval štandard ICAO. Pri kontrole dokladov platí pravidlo, že pokiaľ je možné vykonať vyššiu, bezpečnejšiu úroveň kontroly prístupu k čipu dokladu prostredníctvom PACE, tak sa nemá vykonať nižšia forma kontroly BAC.

Pre úplnosť uvádzame, že práve najvyspelejší mechanizmus EAC je v súčasnosti aplikovaný na všetky osobné údaje uložené v súčasnosti na kontaktnom čipe eID karty. Prípadné doplnenie bezkontaktného rozhrania nebude mať žiadny vplyv na bezpečnostné opatrenia aplikované na súčasnej eID karte.

  1. Je možné získať údaje z „pasovej“ aplikácie na diaľku bez ukázania údajov na doklade?

Nie. Základným predpokladom pre získanie prístupu k údajom „pasovej“ aplikácie na čipe je, aby útočník získal údaje uvedené na doklade v strojovo čitateľnej MRZ zóne (po otvorení pasovej knižky resp. zo zadnej strany na eID karte). Ak držiteľ má doklad vo vrecku a útočník tieto údaje nikdy nevidel, nemá ich k dispozícii, tak nemôže vyčítať osobné údaje z čipu dokladu vo vrecku držiteľa. Ak je cieľom útočníka získať osobné údaje, potom je otázne, prečo by potreboval vykonať pokus o vyčítanie osobných údajov z čipu v prípade, keď doklad už videl (pri snahe použiť údaje z MRZ) a mohol si všetky osobné údaje odpísať, skopírovať alebo zaznamenať inou, technicky jednoduchšou a menej náročnou metódou.

Pre úplnosť tiež uvádzame, že „pasová“ aplikácia je odlišná od aplikácie pre eID kartu logickou dátovou štruktúrou a aj množstvom osobných údajov. „Pasová“ aplikácia obsahuje menej údajov o držiteľovi – napr. nezaznamenáva údaje o adrese. K dodatočným biometrickým údajom (odtlačky prstov) sa ani po získaní údajov z MRZ zóny nedostane, pretože sú chránené mechanizmom EAC – teda na ich vyčítanie je potrebné disponovať špeciálnym terminálovým certifikátom pre potvrdenie oprávnení kontrolného terminálu a získanie prístupu ku tejto zvlášť chránenej skupine údajov. Bez toho nie je technicky možné „prinútiť“ bezpečnostný čip, aby udelil prístup na čítanie tejto skupiny údajov.

  1. Sú odtlačky prstov „pasovej“ aplikácie dostatočne zabezpečené pred neoprávneným prístupom?

Dodatočný biometrický údaj (odtlačky prstov) nie je možné získať bez špeciálneho terminálového certifikátu od MV SR pre vykonanie rozšírenej kontroly prístupu (EAC)  k tomuto citlivému údaju. EAC je najpokročilejší bezpečnostný mechanizmus kontroly prístupu k údajom. Terminálové certifikáty majú spravidla krátku dobu platnosti, ktorá je tiež stanovená podľa odporúčaní ICAO a sú vydávané výhradne pre účely cezhraničnej kontroly. Ako už bolo spomenuté vyššie, biometrické údaje na „pasovej“  aplikácii môžu byť použité výlučne  v súlade s právom EÚ a vnútroštátnym právom len riadne oprávnenými pracovníkmi príslušných vnútroštátnych orgánov a agentúr únie. Teda nemôžu byť sprístupnené a použité napr. v komerčnom sektore.

  1. Vedel by niekto sledovať pohyb občanov na základe unikátneho identifikátora bezkontaktného čipu?

ICAO uvádza, že krajiny majú na výber, či budú ich bezkontaktné čipy na začiatku komunikácie identifikovateľné fixným alebo náhodným unikátnym identifikátorom. Pri náhodnom identifikátore, implementovanom aj na slovenských pasoch, je sledovanie eliminované, pretože pri každom pokuse nadviazať komunikáciu s „pasovou“ aplikáciou bezkontaktný čip vygeneruje nový, náhodný identifikátor a nie je možné sledovať  držiteľa dokladu s konkrétnym unikátnym identifikátorom čipu, ani z neho odvodiť vydávajúcu krajinu dokladu, typ čipu, výrobcu a podobne.

  1. Dali by sa takto získať zdravotné záznamy občanov?

Nie, zdravotné záznamy nie sú ukladané v „pasových“ aplikáciách s bezkontaktným čipom a ani na súčasnom kontaktnom čipe eID karty. V prípade eID karty môžu byť na základe požiadania zo strany občana uvedené na zadnej strane dokladu. Zdravotné záznamy sú samostatne uložené v zabezpečenom prostredí systému eZdravie. Pre prístup ku zdravotným záznamom je potrebné sa identifikovať a autentifikovať eID kartou s kontaktným čipom zadaním bezpečnostného osobného kódu. „Pasová“ aplikácia je odlišná od aplikácie na eID karte a nedá sa nijakým spôsobom použiť na identifikáciu a autentifikáciu pre získanie prístupu ku zdravotným záznamom v systéme eZdravie.

  1. Takže nikto si nemôže niekoho vytipovať „na orgány“, pretože sa nedostane ku zdravotným záznamom?

Áno. Ku žiadnym zdravotným záznamom sa útočník prostredníctvom bezkontaktného čipu nedostane a nemôže vyhodnotiť vhodnosť darcu resp. obete. Tiež nie je možné zistiť žiadne ďalšie charakteristiky alebo situáciu jednotlivca – napríklad majetkové pomery, ktoré by slúžili na vytypovanie obete pre prepadnutie, lúpež a podobne.

  1. Je aplikácia podobná aplikácii na bezkontaktné platby kartou?

Bezkontaktné platby kartou sa riadia samostatnými bezpečnostnými štandardmi. Tie sú odlišné od štandardov ICAO a „pasových“ aplikácií alebo všeobecne štandardov pre elektronickú funkcionalitu dokladov totožnosti. Jediné čo ich spája je vlastnosť, že by bezkontaktný čip komunikoval „vzduchom“ a prípadná nevyhnutnosť certifikácie čipu na požadovanej bezpečnostnej úrovni. V jednom z publikovaných článkov bol znázornený obrazový záznam z aplikácie na čítanie bezkontaktného čipu na platobnej karte, kde boli chronologicky zaznamenané transakcie, dokonca aj tie, ktoré boli vykonané kontaktným spôsobom – čo je jednoducho vysvetliteľné tak, že sa jedná o čip s duálnym rozhraním – teda jeden čip, ktorý vie komunikovať cez dve dostupné rozhrania. „Pasová“ aplikácia v žiadnom prípade nezaznamenáva históriu vykonávania elektronickej kontroly dokladu a nie je možné zistiť, ktorá krajina vás kontrolovala, na ktorom priechode a tvoriť si tak mapu vášho pohybu.

Značky: